没分析过程, 然后废话不多说

• 防止捉包

  • 发送请求前调用下-[NSURLSessionConfiguration setConnectionProxyDictionary: nil]

• 请求参数签名

  • 在+[**ParamsDecode xcSign:method:], 去除某些参数, 使用key排序后, 使用URL Param的参数方式拼接(key=val[&]...), 还得在后面拼上key=70d2*161(项目内写死), 最后整体md5再转大写

• 支付/登录密码校验

  • 支付密码在+[**HttpRequestHelper checkPaymentPwdWith:success:failure:]传入的支付密码, 获取写死的DES Key(77f8*906)进行加密, 然后传到服务器
  • 登录密码在[**HttpRequestHelper login:password:success:failure:]做同样处理
  • 这种方式有点不太安全, 拿到DES Key可以解密出原密码, 如果是进行Hash + Salt的方式感觉会安全点, 如果是BCrypt的方式更不错, 具体还是根据场景选择吧

• 别的发现

  • 里面有网址, 打开之后有一个公司名称, 搜索一轮之后, 找出了好几个公司都是跟同一个较大的公司有关联, 估计就是通过子公司, 不断给产品在换皮、换内容和上马甲包(估计直播行业都这么干的吧, 可怕)